Zdalna identyfikacja system - PowerPoint PPT Presentation

About This Presentation
Title:

Zdalna identyfikacja system

Description:

Title: Zdalna identyfikacja urz dze Author: c0g Last modified by: c0g Created Date: 4/3/2005 10:37:03 AM Document presentation format: Pokaz na ekranie – PowerPoint PPT presentation

Number of Views:67
Avg rating:3.0/5.0
Slides: 18
Provided by: c0g
Category:

less

Transcript and Presenter's Notes

Title: Zdalna identyfikacja system


1
Zdalna identyfikacja systemów operacyjnych i
komputerów
  • Nowe techniki oparte na bledach zegarów

3 kwietnia 2005 Opracowal Pawel
Pokrywka Promotor dr Tomasz Surmacz Prowadzacy
seminarium dyplomowe prof. Wojciech Zamojski
2
Plan prezentacji
  • Co to jest FP?
  • Klasyczne metody FP.
  • Metoda oparta na bledzie zegara.
  • Praca dyplomowa i jak sie do niej ma FP.
  • Dyskusja.

3
Zdalny fingerprinting (FP)
  • Rozpoznawanie obiektów na odleglosc za pomoca ich
    cech charakterystycznych (fingerprint - odcisk
    palca)
  • FP systemów operacyjnych polega na rozpoznawaniu
    systemu z wykorzystaniem sieci komputerowej oraz
    protokolów komunikacyjnych.
  • Dojrzala dziedzina bezpieczenstwa komputerowego

4
Rodzaje FP
  • Aktywny
  • Wymagana interakcja ze zdalnym systemem.
  • Pasywny
  • Monitorowanie transmisji.
  • Semi-pasywny
  • Modyfikacja transmisji w sposób trudno zauwazalny
    dla badanego systemu.

5
Klasyczne metody i narzedzia
  • Banery (netcat, amap).
  • Niestandardowe icmp i udp (xprobe).
  • Protokól TCP
  • Wysylanie niestandardowych segmentów (nmap,
    queso).
  • Monitorowanie segmentów kontrolnych (p0f).
  • Monitorowanie czestotliwosci powtórzen (ring).
  • Analiza ISN.

6
Fingerprinting oparty na czasie
  • Rozpoznawanie konkretnego urzadzenia.
  • Ta metoda pozwala rozróznic dwie maszyny
    pracujace pod kontrola tej samej wersji systemu
    operacyjnego.
  • Kluczowym wymaganiem jest mozliwosc uzyskania
    czasu zdalnego systemu (niekoniecznie
    rzeczywistego).

7
Metody zdalnego odczytu czasu
  • W zaleznosci od metody pomiaru otrzymany czas ma
    rózne wlasciwosci
  • TCP Timestamp (wzgledny)
  • ICMP (rzeczywisty)
  • Protokoly warstw 7 i 8

8
Blad zegara
  • Czas doskonaly
  • Czas obarczony bledem
  • Spieszenie" i "spóznianie"

9
Wykorzystanie bledu zegara do FP
10
Wykorzystanie bledu zegara do FP
11
Zastosowania nowej metody FP
  • Wykrywanie wirtualizacji (honeyd, vmware itd.).
  • Wykrywanie liczby maszyn za NATem.
  • Sledzenie konkretnych maszyn.
  • Dowody sadowe (antydowody).
  • Likwidowanie bariery anonimowosci.

12
Praca dyplomowa
  • Wykorzystywanie slabosci uwierzytelniania
    uzytkowników w sieci.
  • System multispoof
  • Metody detekcji naduzyc.
  • Metody prewencyjne.

13
multispoof idea
14
multispoof detekcja
  • Zdalny FP systemów operacyjnych i urzadzen
  • Ciagle badanie stanu sieci i komputerów
    uzytkowników (pasywne i/lub aktywne).
  • Jesli zbyt wiele systemów nagle ulegnie zmianie,
    to jest to sygnal alarmowy.
  • Odwrotna" detekcja NAT
  • Do tej pory detekcja NAT zawsze byla
    ukierunkowana na znalezienie uzytkownika, który
    udostepnia swoje lacze kilku komputerom.
  • Trzeba wykryc sytuacje, kiedy w jednej chwili
    jeden komputer korzysta z kilku adresów.

15
Prewencja
  • Autoryzujace serwery proxy
  • VPN
  • Inteligentne przelaczniki sieciowe
  • Statyczne przypisania MAC - port
  • 802.11x
  • Inna technologia sieci

16
Literatura
  • Opracowano na bazie artykulu
  • T. Kohno, A. Broido, kc claffy, "Remote physical
    device fingerprinting", http//www.caida.org/outre
    ach/papers/2005/fingerprinting/

17
  • Dziekuje za uwage.
Write a Comment
User Comments (0)
About PowerShow.com